Application Security Engineer; JP

Nous sommes à la recherche d'un ingénieur en sécurité des applications pratique pour renforcer la sécurité au sein de notre cycle de vie logiciel et intégrer des mesures d'atténuation des vulnérabilités dans un environnement de logiciel de santé réaliste.

Vous travaillerez en étroite collaboration avec l'équipe de développement informatique et d'applications, ainsi qu'avec l'équipe d'infrastructure pour intégrer la sécurité dans les pipelines CI/CD, effectuer des évaluations d'applications et résoudre les vulnérabilités directement au niveau du code ou de la configuration. Vous recevrez une liste de priorités de l'équipe de cybersécurité.

Il s'agit d'un rôle technique et pratique : vous analysez les vulnérabilités, résolvez les problèmes dans les applications et aidez les équipes de développement à construire des logiciels sécurisés par conception.

Si vous aimez travailler à l'intersection de la sécurité, de l'ingénierie et du Dev Ops, ce rôle est fait pour vous.

Vous êtes responsable de la prise de mesures après la triage pour résoudre les vulnérabilités des applications (découvertes SAST/DAST/SCA - provenant d'outils ou de processus existants, ou vous implémentez vous-même des outils pour détecter les vulnérabilités).

Vous effectuez également des revues de code sécurisé et des évaluations d'architecture.

Vos tâches comprennent notamment :

• Résoudre des problèmes de vulnérabilité et des conflits liés au code des applications, aux bibliothèques et aux dépendances.
• Aider à réduire la dette technique et à améliorer la maturité globale de la sécurité des applications en contribuant aux processus de prise de décision concernant la remédiation des vulnérabilités et en clarifiant les options.
• Intégrer des outils de sécurité dans les pipelines CI/CD (Dev Sec Ops ).
• Soutenir les équipes de développement avec des pratiques de codage sécurisé.
• Participer à la modélisation des menaces et aux revues de conception de sécurité.
• Vous vous concentrez sur la sécurité des applications, mais collaborez étroitement avec des ingénieurs en sécurité responsables de la gestion des correctifs et des vulnérabilités au niveau du système d'exploitation.

• Outils SAST / DAST / SCA (par exemple, Qualys, rapports de tests d'intrusion)
• Environnement de centre de données local
• OWASP Top 10 et frameworks de codage sécurisé
• Solide expérience en ingénierie logicielle (capacité à lire et modifier du code de production)
• Expérience en sécurité des applications ou en développement de logiciels sécurisés
• Bonne connaissance des 10 principaux risques OWASP et des vulnérabilités d'application courantes
• Expérience pratique en remédiation des vulnérabilités au niveau du code et de la configuration
• Familiarité avec les pipelines CI/CD et les pratiques Dev Sec Ops
• Capacité à analyser les résultats des scanners et à distinguer les véritables problèmes des faux positifs
• À l'aise pour collaborer avec des développeurs et des équipes de sécurité dans un environnement HA
• Expérience en modélisation des menaces
• Connaissance de la sécurité dans le cloud
• Expérience avec les processus de gestion des vulnérabilités

Semaine de travail complète sur site. Après un accord mutuel, un maximum de 2 jours de travail à distance par semaine peut être autorisé.